A mais crítica era classificada como uma falha de use-after-free, à qual foi atribuída o CVE-2020-3962, e que afeta o dispositivo SVGA; caso tivesse acesso local à máquina virtual e com a opção de gráficas 3D ativa, o atacante podia executar código arbitrário no hypervisor. Esta opção dos gráficos está ativada por defeito tanto no Workstation como no Fusion, mas não no ESXi.

Foi também corrigida uma falha na funcionalidade "Shader", de leitura out-of-bound - CVE-2020-3970 - no ESXi, Workstation e Fusion, e que podia ser explorada por um atacante com acesso local e caso a máquina também tivesse a opção de gráficos 3D ativa, e dessa forma podia levar ao crash do processo vmx, ou seja, uma negação de serviço.

As restantes falhas podem ser encontradas no advisory oficial da VMware.

Advisory oficial da VMware: https://www.vmware.com/security/advisories/VMSA-2020-0015.html